SEGURANA SISTEMAS OPERACIONAIS

BRUNA SOUZA DA SILVA 4 SEMESTRE

DIRETIVAS LOCAIS DE SEGURANA CONCEITO
As diretivas locais de segurana fornecem opes para configurar questes de segurana
relacionadas com o Windows. Por exemplo, por padro o usurio pode errar diversas
vezes a senha que a sua conta no ser bloqueada. Com as diretivas locais de segurana,
ns podemos definir que seum usurio errar a senha trs vezes, dentro de um perodo de
meia hora, a sua conta deve bloqueada at que um Administrador desbloqueie a conta
ou deve ficar bloqueada por um perodo definido de, digamos, 24 horas.
A diretiva de segurana uma combinao das configuraes de segurana que
permitem configuraes detalhadas e avanadas de itens que afetam a segurana do
Windows como um todo. Dependendo de como foram configuradas as diretivas locais
de segurana, um computador pode ser extremamente seguro quanto pode ser
extremamente vulnervel. Para editar e configurar as diretivas de segurana, usa-se o
console Diretiva de segurana local, acessado atravs das Ferramentas Administrativas,
do Painel de controle.
Diretivas de Conta: estas diretivas afetam omodo como as contas de usurio podem
interagir com o computador ou o domnio. As diretivas de conta contm dois
subconjuntos:

Diretivas de senha - usadas para contas de domnio ou de usurio local.

As diretivas desta sub-categoria determinam configuraes para senhas, como
aplicao e vida til, comprimento mnimo, etc.

A senha deve satisfazer os requisitos de complexidade:por padro esta

diretiva est desabilitada. Ela determina se as senhas devem satisfazer a
requisitos de complexidade. Se esta diretiva estiver ativada, as senhas precisaro
atender aos seguintes requisitos mnimos:
1.
No conter todo ou parte do nome da conta do usurio;
2.
Ter pelo menos seis caracteres de comprimento;
3.
Conter caracteres de trs das quatro categorias a seguir;
3.1.
Caracteres maisculos do ingls(A-Z);
3.2.
Caracteres minsculos do ingls (a-z);
3.3.
10 dgitos bsicos (0-9)
3.4.
Caracteres no alfanumricos (por exemplo, !, %, #).
Os requisitos de complexidade so impostos quando as senhas so criadas ou alteradas.
Aplicar histrico de senhas: determina o numero de senhas novas e
exclusiva que precisam ser associadas a uma conta de usurio antes qe
uma senha antiga possa ser reutilizada. O valor deve estar entre 0 e 24
senhas. Esta diretiva permite que os administradores aprimorem a
segurana garantindo que as senhas antigas no sejam reutilizadas
continuamente.

 Armazenar senha usando criptografia reversvel:determina se o

Windows 2000 Server, o Windows 2000 Professional, Windows Server
2003, o Windows XP Profissional, o Windows Vista, o Windows Server
2008 ou o Windows 7, armazenam senhas usando criptografia reversvel.
Esta diretiva oferece suporte a aplicativos que usam protocolos que
exigem o conhecimento da senha do usurio para fins de autenticao.
Armazenar senha usando criptografia reversvel basicamente o mesmo
que armazenar verses das senhas em texto sem formatao. Por esse
motivo a diretiva jamais deve ser ativada, a menos que os requisitos de
um aplicativo que voc precisa usar sejam mais importantes que a
necessidade de proteger as informaes sobre as senhas dos usurios. Se
esta diretiva for ativada, um usurio com um programa de captura de
pacotes na rede poder descobrir a senha dos usurios da rede. Por
padro fica desativada.

Diretivas de bloqueio de conta - esta sub- categoria apresenta diretivas

que determinam se uma conta ser ou no bloqueada, se o usurio errar a senha
um determinado numero de vezes, dentro de um determinado perodo. Nesta
categoria temos as seguintes diretivas:

Durao do bloqueio de conta: determinam quantos minutos uma conta

permanece bloqueada antes de ser automaticamente desbloqueada. O intervalo
disponvel de 1 a 99.999 minutos. possvel especificar que a conta fique
bloqueada at um administrador desbloque-la explicitamente definindo o valor
desta diretiva como 0. Por padro ela no definida e ela s tem sentido quando
um limite de bloqueio de conta especificado.

Limite de bloqueio de conta: Determina o numero de tentativas de

logon com falha que ira causar o bloqueio de uma conta de usurio. Uma conta
bloqueada no pode ser usada ate ser desbloqueada por um administrador ou ate
o perodo de bloqueio da conta expirar.

Zerar contador de bloqueio de conta aps: determina quantos minutos

devem decorrer entre a ultima tentativa de logon com falha e a redefinio do
contador dessa tentativa como 0 tentativas de logon invlidos.
Diretivas Locais: as diretivas deste grupo afetam uma serie de configuraes do
computador. Atravs desta categoria temos opo para configurar os logs de auditoria
do Windows, temos opes para configurar os chamados direitos dos usurios, tais
como quem pode fazer o logon, quem pode ou no usar o drive de disquete e assim por
diante e tambm temos opes avanada de segurana, tais como se a conta
Administrador ou no ser renomeada, se permitido o acesso remoto Registry do
computador. As diretivas locais contm trs subconjuntos:

Diretiva de Auditoria: as diretivas deste grupo definem configuraes

que esto relacionados aos logs do Windows, tais como os logs de Aplicativos,
Segurana e Sistema. Com estas diretivas possvel configurar opes tais
como: tamanho mximo do log, direitos de acesso a cada log, configuraes e
mtodos de reteno dos eventos nos logs e assim por diante. O log do aplicativo

registra eventos gerados por programas, o log de segurana registra eventos de

segurana, inclusive tentativas de logon com ou sem sucesso acesso a
objetos(pastas, impressoras, etc) alteraes em segurana, dependendo do que
auditado; e o log do sistema registra eventos de sistema operacional.
Nesta categoria temos as seguintes diretivas:
Auditoria de eventos de sistema: esta diretiva usada para determinar a
necessidade ou no de um usurio reiniciar ou desligar o computador quando
ocorrer um evento que afete a segurana do sistema ou o log de segurana.
Auditoria de acompanhamento de processos: a configurao desta diretiva
determina a necessidade ou no de auditar informaes detalhadas de controle
de eventos, como ativao de um programa, sada de processo, duplicao e
acesso indireto a objetos. Se voc definir essa configurao de diretiva,
poder especificar se ira auditar xitos, falhas ou nenhum tipo de evento. As
auditorias de xitos geram uma entrada de auditoria quando o processo que
est sendo controlado bem- sucedido. As auditorias de falhas geram uma
entrada de auditoria quando o processo que est sendo controlado falha.
Padro: sem auditoria.
Auditoria de alterao de diretivas: esta diretiva desse ser habilitada
quando o Administrador quer que seja registrado no log de eventos, alteraes
que sejam feitas nas diretivas de atribuio de direitos, diretivas de auditoria
ou diretivas de confiana de um usurio. uma maneira do Administrador
acompanhar quais usurios esto tentando alterar quais diretivas. Em
ambientes de alta segurana esta diretiva pode ser de grande utilidade para
ajudar a identificar usurios que estejam tentando alterar configuraes de
segurana, para tornar o computador mais vulnervel a ataques e a instalao
de programas no autorizado. Se definir essa configurao de diretiva, poder
especificar se ir auditar xitos, falhas ou nenhum tipo de evento.
Atribuies de direitos de usurios: um direito de usurio uma ao que o
usurio pode ou no executar. Por exemplo, fazer logon no computador
localmente, acessar o computador pela rede, alterar a hora do sistema, alterar
fuso-horrio e acessar drive de CD-Rom.
Principais diretivas desta categoria:
Acesso a este computador pela rede: utilizada para determinar quais
usurios e grupos tm permisso para se conectar ao computador atravs
rede.
Alterar a hora do sistema:determina quais usurios e grupos podem
alterar a data e a hora no relgio interno do computador. Os usurios que
tm esse direito atribudo podem afetar a aparncia dos logs de eventos. Se
a data e hora do sistema forem alteradas, os eventos registrados refletiro
essa data e hora novas e no aquelas em que os eventos realmente
ocorreram. Esse direito do usurio definido no objeto de Diretivas de
Grupo de Domnio Padro e na diretiva de segurana local de estaes de
trabalho e servidores.

 Desligar o sistema: esta diretiva determina quais usurios com logon local
no computador podem desligar o sistema operacional usando o comando
Desligar.
Opes de segurana: este grupo contm uma serie de diretivas que podem ser
utilizadas para tomar o Windows ainda mais seguro.
Principais diretivas desta categoria:
Contas: renomear conta do administrador: determina se um nome de conta
diferente poder ser associado ao identificador de segurana (SID) da conta
Administrador. Como notria a existncia da conta Administrador em
todos os computadores com o Windows 2000 Server , Windows 2000
Professional e Server, Windows XP, Windows Server 2003, Windows Server
2008, Windows Server 2012, Windows 7 e Windows 8, renomear a conta
torna um pouco mais difcil para usurios no autorizados, tentarem adivinhar
a combinao de senha e nome, pois alm da senha, tero tambm que
adivinhar, qual o novo nome da conta Administrador.
Logon interativo: texto de mensagem para usurios tentando fazer logon:
especifica uma mensagem de texto que ser exibida para os usurios quando
eles fizerem logon. Esse texto muitas vezes usado por razes legais, por
exemplo, para notificar os usurios sobre as implicaes da utilizao
incorreta de informaes da empresa ou para avis-los de que possvel que
seja feita auditoria de suas aes.
Logon interativo: pedir que o usurio altere a senha antes que ela expire:
determina com quanto tempo de antecedncia (em dias) os usurios sero
avisados de que sua senha est prestes a expirar. Com esse aviso antecipado, o
usurio tem tempo para criar uma senha que seja suficientemente segura,
respeitando as polticas de segurana definidas no computados tais como o
numero mnimo de caracteres e a imposio de critrios de complexidade
para a senha. O padro : 14 dias.
Referncia
http://juliobattisti.com.br/artigos/windows7/capitulo06/cap06_19.asp
http://juliobattisti.com.br/artigos/windows7/capitulo18/02.asp